I disertori di Hacking Team

Sono seduto in un anonimo ufficio color panna a Silema, una cittadina turistica e commerciale di fronte a Valletta, la capitale di Malta. Sto fissando il mio computer, scrivendo comandi sul terminale, e non ho idea di cosa stia facendo.

Dall'altra parte della stanza siede un hacker che sembra tutto meno che un hacker, perlomeno per come l'immaginario popolare li dipinge. Capelli corti, barba appena tagliata, un sorriso sincero, addosso una polo blu scuro e delle bermuda. Sembra un turista, non qualcuno che fino a poco tempo fa sviluppava spyware per la nota azienda italiana di sorveglianza Hacking Team.

Mi sta mandando una serie di comandi scritti con il linguaggio di programmazione Python, sta provando a sfruttare alcune falle del sistema operativo del mio MacBook in modo che io possa ottenere i privilegi da amministratore sul mio computer di lavoro.

"Fammi scrivere un'altra backdoor," dice.

Dopo una manciata di tentativi falliti e qualche altro script in Python, finalmente funziona. "Cazzo sì, ora hai i comandi da root," mi dice, utilizzando un termine tecnico per indicare un utente con tutti i privilegi di accesso possibili su un determinato computer. "Abbiamo appena fregato il tuo computer!" aggiunge ridendo. Rido anche io, e poi capisco che, tecnicamente, un tizio che lavorava per Hacking Team—il venditore di tecnologie di sorveglianza che vendeva i suoi prodotti ad almeno 40 diverse rappresentanze delle forze dell'ordine e agenzie di intelligence sparse per il mondo, secondo i dati pubblicati online questa estate—aveva appena hackerato il mio computer.

Il suo nome è Alberto Pelliccione. Fino all'anno scorso era l'uomo responsabile dello sviluppo dello spyware Android di Hacking Team, e uno dei dipendenti che aveva lavorato al prodotto principale dell'azienda, la suite di sorveglianza conosciuta come Remote Control System o RCS.

A febbraio dell'anno scorso Pelliccione ha presentato le dimissioni. Da allora, i pezzi grossi dell'azienda, in particolare il CEO David Vincenzetti, gli hanno dato filo da torcere per questa sua decisione, e lo hanno citato in giudizio accusandolo di aver usato parte dei codici di proprietà di Hacking Team per creare una contromisura per lo spyware dell'azienda, un sistema di difesa chiamato ReaQta.

Oggi, dopo che a luglio un misterioso hacker conosciuto come PhineasFisher ha violato i database dell'azienda, esponendo i suoi segreti più preziosi come gli scambi interni di email, la lista dei clienti e addirittura il codice sorgente dello spyware, Pelliccione è apparso nella lista dei potenziali sospetti di Vincenzetti.

Ma non è l'unico ad aver subito la collera del suo vecchio datore di lavoro. Un piccolo gruppo di ex-dipendenti specializzati dell'azienda, che si sono dimessi dopo Pelliccione, sono allo stesso modo sospettati di essere i responsabili dell'hack, e sono stati definiti dalla stampa italiana "infedeli" e "traditori." La loro dipartita dall'azienda, e ciò che gli è successo dopo, mostra che anche all'interno di Hacking Team molti non erano contenti di quale direzione stesse prendendo il loro lavoro negli ultimi anni, alla luce di numerosi report che davano i prodotti di Hacking Team come protagonisti di abusi da parte di alcuni suoi clienti come il Marocco, gli Emirati Arabi, l'Etiopia o l'Arabia Saudita.

Il gruppo di ex-dipendenti è stato accusato di aver giocato una parte nell'hack dopo mesi di singole cause legali contro cinque di loro. Due di loro hanno anche ricevuto una visita dei servizi segreti italiani—un piano che sembra corrispondere a un modo per intimidirli e punirli per aver lasciato l'azienda.

Un ex dipendente di Hacking Team ha chiesto di rimanere anonimo a causa di Vincenzetti, "con le attuali cause in corso, in qualche maniera, sta riuscendo a non far parlare alcune persone terrorizzandole."

Guido Landi, che ha lavorato come sviluppatore Windows per Hacking Team, è uno degli ex-dipendenti che l'azienda sta tenendo sotto torchio. Per lui, Hacking Team è un "gabbia di matti" portata avanti da un "fascista" che non perdona chi osa abbandonarlo.

Un altro ex-dipendente ha detto che da quando Pelliccione ha mollato, quelli che lo hanno seguito sono stati immediatamente "categorizzati come nemici, criminali, persone di dubbia reputazione."

La scorsa estate, prima della breccia di sicurezza, un altro sviluppatore ha annunciato di volersi dimettere. Subito dopo, secondo delle email interne, Vincenzetti si è preoccupato che potesse star lasciando per andare da un concorrente e ha scritto una mail agli altri dirigenti in cui diceva di star pensando ad "azioni legali."

Intimidire le persone che volevano andarsene era una "procedura di routine," secondo un ex-dipendente. Landi conferma, dicendo di aver sentito di vari casi simili. "Non appena ti dimettevi, diventavi il nemico," dice.

"Hacking Team non è una cazzo di religione che se la abbandoni significa che sei un infedele o un traditore."," mi ha spiegato Pelliccione. "È solo un'azienda, e se ti rompi le scatole hai tutto il santo diritto di andartene."

Alla fine del 2007 Pelliccione stava lavorando ad alcune ricerche su robotica e intelligenza artificale per il Centro Nazionale di Ricerca di Roma. È allora che ricevette una telefonata da un vecchio amico che lavorava per Hacking Team. Al tempo, l'azienda era un piccolo marchio che si occupava di consulenza per altre aziende, come grandi banche che volevano proteggersi. L'anno prima, l'azienda aveva cominciato a lavorare ad alcune soluzioni offensive di hacking, come l'applicativo che verrà poi conosciuto con il nome di DaVinci, la prima versione di RCS. Quando è entrato nell'azienda, Pelliccione dice che c'erano meno di quattro persone a lavorare al progetto.

"Lavoravamo a cose che il mondo non aveva mai visto," mi dice Pelliccione.

Lentamente, RCS diventò il principale prodotto dell'azienda, e infine l'unico, e Pelliccione venne incaricato di guidare il team di sviluppo, prima concentrandosi su sistemi mobile Windows, poi Android.

Inizialmente l'azienda vendeva solamente al governo italiano, ma grazie a del marketing aggressivo e una crescente domanda per strumenti di quel tipo, il business di Hacking Team si ingrandì rapidamente su scala globale, finendo a vendere un po' a tutto il mondo. Nonostante gli affari, l'azienda fu capace di mantenere un basso profilo fino a fine 2012. Il 10 ottobre 2012, dei ricercatori di Citizen Lab, un sorvegliante digitale della Munk School of Global Affairs dell'Università di Toronto, rivelarono che il governo marocchino stava usando un sofisticato software per lo spianaggio per controllare il gruppo giornalistico locale Mamfakinch. I ricercatori scoprirono poi che il malware si chiamava DaVinci, e lo fecero risalire all'Hacking Team. Per la prima volta l'azienda venne collegata ad azioni di abuso contro i diritti umani. Il direttorio di Hacking Team annunciò un meeting di emergenza visto che Citizen Lab aveva esposto pubblicamente gli strumenti dell'azienda, che funzionavano proprio perché erano poco conosciuti e gli antivirus non li rilevavano. L'amministrazione chiese agli sviluppatori di tornare al lavoro per rendere DaVinci di nuovo invisibile.

Pubblicamente, l'Hacking Team snobbò il report, spiegando che il suo modus operandi corrispondeva a non discutere degli affari con i suoi clienti, e che l'obiettivo dell'azienda era quello di fornire strumenti per investigare dei crimini. Dentro l'azienda, i pezzi grossi dissero ai dipendenti che non c'era modo per loro di sapere in che modo i clienti utilizzassero i prodotti, se gli obiettivi fossero i criminali o degli attivisti.

Ma gli sviluppatori, come altri dipendenti, furono presi di sorpresa, secondo Pelliccione e cominciarono a fare domande e a discutere sul come gli strumenti che creavano venissero utilizzati: se per combattere il crimine o per opprimere i dissidenti.

"Il dibattito si accese per non fermarsi più," mi ha spiegato Pelliccione.

L'amministrazione decise di compartimentalizzare e separare il reparto vendite e quello per l'installazione dei sistemi, ovvero i due reparti con più contatti coi clienti, da quello degli sviluppatori—"una separazione pensata per evitare il malcontento interno," spiega Pelliccione.

La compartimentalizzazione divenne col tempo sempre più concreta. Gli sviluppatori lavoravano al piano terra di Via Moscova 13, il quartier generale di Hacking Team, mentre il management era al primo piano, e le vendite e l'installazione dei sistemi, che giravano per il mondo per installare i sistemi e mostrare le demo dei prodotti, lavoravano al quinto piano.

A quel punto i dipendenti non capivano cosa stesse succedendo, e come i loro strumenti venissero utilizzati, o a chi l'azienda li stesse vendendo. Ma i ricercatori del Citizen Lab continuavano a rivelare numerosi casi di abuso, e Pelliccione afferma che probabilmente ce ne sono stati molti altri di cui nessuno saprà mai niente.

Landi, che dice che poco sapeva della sezione vendite, ammette che avrebbe potuto chiedere ai suoi amici negli altri reparti, ma che ha deciso di non farlo, preferendo non sapere. Guardando indietro, comunque, Hacking Team ha venduto i suoi prodotti a nazioni che non dovevano averli.

"In Sudan non si vende. Punto. Stessa cosa vale per l'Etiopia."

Nei suoi sei anni dentro Hacking Team, benché fosse a capo del team di sviluppo Android, Pelliccione dice di non essere mai stato assunto come full time, e di non essersi mai sentito veramente valorizzato dall'azienda. Per questo motivo, e a causa delle discussioni interne riguarda la legittimità degli strumenti di Hacking Team, ha deciso di lasciare.

"A nessuno piace sapere che ciò che crei viene usato in maniera malvagia," spiega. "Non importa quanto questi strumenti siano controllati, non saprai mai con certezza per cosa potrebbero essere usati. Puoi sperare che vengano utilizzati per fare del bene, ma non sai in che mani finiranno."

Hacking Team non ha voluto commentare questa vicenda, ma l'azienda da molto tempo sostiene di non vendere a nazioni in cui ci sono "sospetti fondati" che i suoi prodotti "possano essere usati per facilitare una violazione di diritti umani." Nonostante ciò, dopo che Citizen Lab ha riportato un primo caso di sospetto abuso degli strumenti in Etiopia, l'azienda non ha smesso di vendere al paese, il quale è stato poi ribeccato a prendere di mira gli stessi giornalisti con lo spyware di Hacking Team.

L'azienda ha anche sfruttato una board di verifica esterna che si sarebbe dovuta assicurare che Hacking Team non vendesse a regimi repressivi. Nonostante questo organo, che si è scoperto essere composto da avvocati dell'azienda internazionale Bird & Bird, l'azienda ha venduto i suoi prodotti al Sudan, nonostante il paese fosse nella lista nero da embargo delle Nazioni Unite.

L'azienda ha ribadito più volte di non aver alcuna responsabilità dell'uso che i clienti decidevano di fare dei loro prodotti. Ma in realtà, ogni volta che un cliente voleva infettare un obiettivo con un documento pensato per essere una trappola esplosiva, inviava il documento ai tecnici della Hacking Team, che avevano il compito di trasformarlo in un'arma. Anche se questa cosa non significa che l'azienda conoscesse i destinatari di questi documenti, poteva farsi un'idea, a seconda del contenuto del documento.

Nel 2013, Reporters Without Borders ha definito Hacking Team uno dei "nemici di Internet" perché vende strumenti a regimi repressivi. Un anno dopo, il 12 febbraio 2014, il Citizen Lab ha rivelato che il governo etiope aveva usato lo spyware della Hacking Team per entrare nei computer di diversi giornalisti nella diaspora, un'azione che gli attivisti hanno denunciato come l'ennesimo attacco alla libertà di parola.

Per Pelliccione, è stata l'ultima goccia. Due giorni dopo, ha detto ai suoi capi che voleva dare le dimissioni. Il 21 febbraio l'azienda ha annunciato tramite una mail interna che Pelliccione se ne stava andando, per fondare una propria azienda di sicurezza a Malta.

"Auguro ad Alberto e tutto il meglio," ha scritto in una mail Giancarlo Russo, il Chief Operation Officer dell'Hacking Team, descrivendo la decisione di Pelliccione come "audace e coraggiosa."

Ma Vincenzetti, il CEO, non ha preso la cosa altrettanto bene.

"Alberto era uno dei TOP GUYS della divisione R&D in una posizione importante," ha scritto Vincenzetti in una mail inviata solo agli altri dirigenti. "MAI accaduta una cosa del genere."

Il CEO ha immediatamente messo in dubbio i motivi reali dietro la scelta di Pelliccione, chiedendosi se avrebbe trascinato altre persone con sé per fondare un'azienda "spin-off" o una "società competitor." Nelle settimane successive, un altro impiegato, un ingegnere applicativo, ha lasciato l'azienda. In una mail che discuteva la cosa, Vincenzetti ha menzionato "gravi crepe" all'interno dell'azienda, e il rischio di ulteriori "defezioni" che avrebbero potuto "distruggere" l'azienda.

A maggio, Vincenzetti ha condiviso altre cattive notizie, un'altra "grave perdita"—questa volta si trattava di Landi, un altro sviluppatore importante.

"Guido [Landi] è, in sintesi, il braccio destro di Marco Velleri [CTO]," scrive Vincenzetti. "Senza Guido non siamo più in grado di garantire l'invisibilità del nostro prodotto."

Vincenzetti ha aggiunto di aver coinvolto i "massimi contatti" dell'Hacking Team all'interno del governo italiano per capire dove fosse diretto Landi. Stava probabilmente facendo riferimento a due agenti dei servizi segreti italiani: Il colonnello Riccardo Russi e il generale Antonello Vitale.

Quando un altro impiegato cruciale di nome Mostapha Maanna ha dato le sue dimissioni dopo qualche giorno, Vincenzetti ha iniziato a vedere una "cospirazione", come dice Pelliccione, e a preoccuparsi che gli ex-impiegati volessero entrare in competizione con la Hacking Team.

Nei mesi a seguire, Vincenzetti si è messo a sondare le loro attività, stando a quanto riportano le mail e i documenti trafugati. Russi ha giocato un ruolo fondamentale in questa cosa, incontrandosi personalmente con Landi e Maana, e andando persino "a far visita", come dice lui stesso in una mail, inviata dal suo account personale ad agosto del 2014.

Nel frattempo, Pelliccione ha fondato la ReaQta e si è stabilito a Malta per creare un nuovo sistema che sfrutti l'intelligenza artificiale per identificare i cyber-attacchi. Preoccupata riguardo a Pelliccione, la Hacking Team ha assunto un investigatore privato dall'impresa americana Kroll per scoprire a cosa stesse puntando, stando a un report interno trafugato.

Neli mesi successivi, la Kroll si è finta un potenziale cliente per scoprire di più sulla ReaQta. Gli investigatori si sono incontrati con Pelliccione, oltre che con un suo collaboratore, Alberto Velasco. Al tempo, Velasco era anche un appaltatore freelance per la hacking Team, che rappresentava la compagnia negli Stati Uniti. È stata la compagnia con sede in America di Velasco, la Cicom USA, ad agire come tramite quando la DEA ha acquistato il software della Hacking Team nel 2012.

In un incontro ad Annappolis, nel Maryland, avvenuto il 16 gennaio 2015, gli investigatori della Kroll hanno chiesto a Velasco e a Pelliccione, che erano in collegamento via Skype, se la ReaQta fosse in grado di bloccare il malware della Hacking Team. I due, stando a quanto l'impresa sostiene, "hanno riso nervosamente." Pelliccione ha poi detto che sì, la ReaQta era in grado di neutralizzare gli strumenti della Hacking Team.

Agli occhi della Hacking Team, è stata come un'ammissione di colpa. Quattro mesi dopo, il 5 maggio, Vincenzetti ha fatto causa in Italia a Pelliccione, Velasco, Landi, Maanna e Serge Woon, un altro ex impiegato che è andato a lavorare per la ReaQta, per cospirare e creare un "antidoto" contro la Hacking Team, usando codice rubato.

Nell'azione legale Vincenzetti ha scritto che le capacità della ReaQta di arrestare l'RCS della Hacking Team potevano essere solamente il frutto di una "sottrazione del codice sorgente dell'RCS dai sistemi della Hacking Team." Vincenzetti ha accusato Maanna e Landi di lasciare la Hacking Team con lo scopo di aiutare Pelliccione a commercializzare la ReaQta. L'azienda ha anche denunciato Velasco negli Stati Uniti, così come Woon a Singapore.

Gli ex-impiegati hanno respinto ogni accusa. Pelliccione mi dice che la causa non ha senso, dato che la ReaQta è un prodotto di difesa, mentre la Hacking Team uno strumento di attacco. E non avrebbe alcun senso per lui mettere ReaQta in commercio come antidoto, dato che la Hacking Team è usata da un piccolo numero di clienti per un tipo di sorveglianza specifica. In altre parole, non avrebbe alcun senso economico, dice.

Il portavoce della Hacking Team, Eric Rabe, si è rifiutato di commentare la causa legale, dicendo che si tratta di "questioni interne."

Da quando è andata in tribunale, l'azienda ha tenuto sotto pressione gli ex-impiegati. L'estate scorsa, prima di essere attaccata, ha assunto investigatori privati per stare dietro a Maanna, secondo le mail trafugate e i report dei detective. In una mail, un avvocato della Hacking Team ha detto ai detective che l'azienda stava cercando le "prove" della "partecipazione ad un gruppo islamico" di Maanna.

Qualche settimana dopo l'attacco devastante, in cui la PhineasFisher ha sottratto 400 gigabyte di dati interni, L'accusa italiana ha iniziato a indagare gli ex-impiegati. (Pelliccione e Landi non hanno voluto commentare le indagini).

Alessandro Gobbis dell'accusa, ha confermato per telefono ad agosto che gli ex-impiegati erano indagati dopo che qualcuno di "esterno" all'indagine li ha segnalati come potenziali sospettati. Gobbis non ha voluto rivelare i nomi di tutti gli ex-impiegati che sono sotto indagini, né chi li abbia indicati come potenziali sospettati. Alcune fonti, ad ogni modo, mi hanno detto che è stato Vincenzetti a coinvolgerli. L'accusa non ha neanche voluto rivelare altri dettagli sulle indagini, dato che sono ancora in corso.

"Stiamo seguendo tutte le piste," mi ha detto al telefono.

Rabe, portavoce della Hacking Team, ha detto in una mail che l'azienda "non ha fatto il nome né ha accusato nessuno dell'attacco, dato che gli esecutori sono semplicemente sconosciuti," e che la Hacking Team "può solo speculare su chi sia stato e sul perché la compagnia sia stata presa di mira in questo attacco."

Nelle settimane successive all'attacco, Vincenzetti ha definito la cosa un "crimine malvagio e sconsiderato," compiuto con l'obietto di distruggere l'azienda. Ma Vincenzetti ha anche promesso di non arrendersi, dicendo che l'azienda uscirà dalla situazione con "nuovi e migliori strumenti."

Il gruppo di ex-impiegati ha negato il presunto coinvolgimento nell'attacco.

"Non c'entriamo niente con questa cosa," dice Pelliccione. "Ho l'impressione che queste accuse siano solo una rappresaglia."

È un giorno d'estate caldissimo a Malta. Pelliccione ed io siamo seduti a un tavolo e mangiamo shawarma di pollo. Dopo sei anni passati a sviluppare software per hackerare i computer delle persone, Pelliccione ha cambiato fronte, e ora usa le sue capacità e la sua esperienza per tenere gli hacker lontano.

È passato più di un anno da quando ha lasciato la Hacking Team. Durante questo periodo, l'hacker ha lavorato con un piccolo team di sviluppatori per creare una soluzione di difesa di nuova generazione chiamata ReaQta-Core. Pelliccione dice che ReaQta Core usa l'intelligenza artificiale e l'apprendimento automatico contro i malware, e resta al livello della CPU, così da poter fornire una protezione migliore degli antivirus tradizionali. La compagnia non ha ricevuto ancora un finanziamento, ma in questo momento è alla ricerca di investitori.

Durante il pranzo, Pelliccione guarda nel vuoto per un attimo.

"Ti ricordi quando quell'azienda di sicurezza ha analizzato l'impianto per Android della Hacking Team?" mi chiede.

Sta parlando di un'analisi fatta dalla Trend Micro, che ha definito lo spyware per Android dell'azienda "il malware per Android più sofisticato e sviluppato nel modo più professionale che sia mai stato trovato."

Annuisco. Mi guarda e cita l'analisi, sorridendo.

"Quando l'ho letta," dice, fingendo di togliersi un cappello immaginario, "mi sono stretto la mano da solo. Ho scritto io quel malware!"

Illustrazione di Shaye Anderson